Microsoft предупреждает ИТ-администраторов о замене сертификатов безопасной загрузки

Безопасная загрузка — это функция безопасности, которая предотвращает запуск вредоносного программного обеспечения во время загрузки системы, гарантируя, что только доверенные загрузчики могут быть загружены на компьютеры с прошивкой UEFI. Это достигается путем сравнения цифровой подписи программного обеспечения с набором доверенных цифровых сертификатов, хранящихся в прошивке устройства.

На этой неделе Microsoft начала автоматическую замену сертификатов безопасной загрузки, срок действия которых истекает в соответствующих операционных системах Windows 11 24H2 и 25H2, и предупредила ИТ-администраторов об изменениях. Объявление было сделано после того, как в ноябре Microsoft предупредила ИТ-администраторов об обновлении сертификатов безопасности, используемых для проверки прошивки UEFI, до истечения срока их действия.

«Срок действия сертификатов безопасной загрузки, используемых большинством устройств Windows, истекает с июня 2026 года. Это может повлиять на способность определенных личных и бизнес-устройств безопасно загружаться, если они не будут обновлены вовремя», — объясняет Microsoft.

Начиная с этого обновления, обновления качества Windows включают подмножество высоконадежных данных об устройствах, которые идентифицируют устройства, имеющие право на автоматическое получение новых сертификатов безопасной загрузки. Устройства получат новые сертификаты только после демонстрации достаточного количества признаков успешного обновления, что гарантирует безопасное и постепенное развертывание.

Поддержание функциональности безопасной загрузки

ИТ-администраторы, которые хотят поддерживать функциональность безопасной загрузки и обеспечивать безопасность своих конечных точек, должны установить новые сертификаты до истечения срока действия старых сертификатов этим летом. Если они этого не сделают, вы можете потерять средства защиты диспетчера загрузки Windows и безопасной загрузки, поскольку обновления безопасности для компонентов предварительной загрузки больше не будут предоставляться на устройствах с поддержкой безопасной загрузки.

«Без обновлений устройства Windows с поддержкой безопасной загрузки рискуют не получать обновления безопасности или полагаться на новые загрузчики, что поставит под угрозу как удобство обслуживания, так и безопасность», — пояснила Microsoft.

Хотя Microsoft будет автоматически обновлять устройства с высоким уровнем доверия через Центр обновления Windows, организации также могут развертывать сертификаты безопасной загрузки с помощью разделов реестра, системы конфигурации Windows (WinCS) и параметров групповой политики.

Согласно руководство по безопасной загрузке Microsoft администраторы должны сначала провести инвентаризацию своего парка устройств, проверить статус безопасной загрузки с помощью команд PowerShell или разделов реестра, а затем применить обновления прошивки производителя перед установкой обновлений сертификатов Microsoft.

Редактор: AndreyEx